2023 年 10 月 30 日以前は、Container Intelligence Operations サービス(AIOps スイート)が ACK 管理サービスロール AliyunCSDefaultRole を使用していました。デフォルトのセキュリティコントロールを強化するため、2023 年 10 月 30 日より、このサービスは統合された専用 RAM サービスロールを使用して、ACK クラスターを含むすべての許可されたユーザーのリソースにアクセスします。
本変更の影響
2023 年 10 月 30 日より、Container Service for Kubernetes の新規インスタンスおよび新規作成の ACK クラスターには、デフォルトで AliyunCISDefaultRole アクセスポリシーが付与されます。
-
2023 年 10 月 30 日以前に作成されたクラスターでは、クラスター検査やクラスター診断などの Container Intelligence Operations 機能を利用する際に、権限付与のプロンプトが表示されます。
-
2023 年 10 月 30 日以降に作成されるクラスターでは、クラスター作成時に権限付与のプロンプトが表示されます。
ロールへの権限付与
RAM ロールの権限収束後、Container Intelligence Operations サービスは AliyunCSDefaultRole を使用しなくなり、代わりにデフォルトのシステムロール AliyunCISDefaultRole を使用します。ACK コンソールでクラスターを作成する場合、または Container Intelligence Operations コンソールを利用する場合、このシステムロールへの権限付与を促すプロンプトが表示されます。
-
Alibaba Cloud アカウント (root ユーザー) または AliyunRAMFullAccess または AdministratorAccess ポリシーを持つ RAM ユーザーでログインします。RAM コンソールに移動 をクリックし、RAM 認可ページに移動します。
説明OpenAPI を使用してクラスターを作成する場合、または Container Intelligence Operations の機能を利用する場合は、認可リンク をご利用ください。
-
認可ページの下部にある 認可 をクリックします。
診断、検査、その他の機能を利用するには、Container Intelligence Operations コンソール に再度ログインします。
参考資料
AliyunCISDefaultRole ポリシーの詳細については、「権限付与の追加」をご参照ください。